欧盟网络安全职能部门ENISA的现在与未来

欧盟当前正在推动包括数字单一市场和消费者金融服务改革在内的若干社会科技经济重大项目，这使得如何平衡隐私保护与信息安全两者的需求成为欧盟领导人们在制订网络安全相关政策时必须考虑的问题，而这也是成立于2004年的欧盟网络安全职能部门“欧盟网络与信息安全局（European Union Agencyfor Network and Information Security，ENISA）”最重要的工作内容之一。除了以欧盟层级网络安全职能部门的角色，为欧盟及其成员国提供增强信息与网络安全相关的建议和协助外，保护能源、交通、金融市场、银行业、医疗保健及数字资产等欧洲大陆关键基础设施的安全，也是欧盟网络与信息安全局的核心职能。

欧盟网络与信息安全局开展其业务工作的授权来自于欧盟委员会（European Commission，EC）的网络与系统安全指导文件（通常也称之为NIS Directive）。在第一份面向整个欧盟、旨在提升网络安全性的欧盟法律于2016年生效后，欧盟仍计划于2018年内在网络安全领域采取更多动作。考虑到欧盟当前仍面临较高的网络安全挑战，欧盟委员会将有可能考虑继续扩大欧盟网络与信息安全局的职能范围，新增由其开展欧洲信息与通信科技（ICT）产品及服务安全认证的授权，同时也将加强其在处置欧盟内部跨国网络安全事件及危机之时的角色。

但欧盟网络与信息安全局的自身定位并非是充当欧盟的计算机应急响应小组（CERT），而是帮助欧盟及其成员国为应对未来的网络攻击做好充分准备。欧盟网络与信息安全局目前已与欧盟计算机应急响应小组（CERT-EU）和欧洲警察组织（Europol）下属的欧洲网络犯罪中心（European Cybercrime Center）建立了紧密联系。去年WannaCry和NotPetya勒索软件攻击事件中，欧盟网络与信息安全局就积极地充当了欧盟各成员国间的网络威胁信息沟通与共享渠道。

“网络欧洲（Cyber Europe）”演练是欧盟网络与信息安全局目前主办的最大规模活动，来自欧盟成员国的700个政府机构和企业、300个非政府组织，以及来自欧洲自由贸易联盟（European Free Trade Association，EFTA）的成员国冰岛、列支敦士登、挪威和瑞士的人员都将参与相关活动。2018年的第五届“网络欧洲”演练将以航空业安全为主题，由于这个两年一度的演练活动已成为目前欧洲最重要的网络危机演练活动，欧盟正在考虑将其举办时间改为每年一次。每届“网络欧洲”演练将持续六个月，在2016年的上一届活动中，欧盟网络与信息安全局组织欧盟成员国的演练参与者共同响应了一次模拟的“可能危及全欧洲的大规模网络攻击事件”。欧盟网络与信息安全局的活动组织人员认为，因为演练参与者直接在其所属国参与活动，整个演练场景与现实世界非常接近，因此演练的效果相当理想。

欧盟网络与信息安全局的另一个职能是评估和沟通漏洞及网络威胁信息，这些内容将体现在其年度报告《威胁前景展望（Threat Landscape）》中。在其今年1月15日公布的最新版本中，欧盟网络与信息安全局指出2017年发生频率最高的五类网络攻击分别是恶意软件、基于Web的攻击、Web应用攻击、网络钓鱼和垃圾邮件。曾是2016年威胁榜单前列的分布式拒绝服务攻击和僵尸网络攻击，在今年报告中分别降至第6位和第8位。欧盟网络与信息安全局指出，近期网络安全攻击事件对欧洲所造成的直接经济损失总量，已相当于沃伦.巴菲特所拥有的美国第二大企业伯克希尔哈撒韦公司的市值。对于未来的网络安全威胁态势，欧盟网络与信息安全局认为装备更先进工具及隐藏手段的尖端多渠道多层次攻击、特别是具有政府背景的黑客团伙，将成为欧盟各成员国政府及企业“最常见的网络威胁”，同时该机构也强调“随着网络战手段的普及，网络空间中发生网络战冲突的可能性越来越大，这将对欧盟的关键基础设施运营者造成更大的压力”，要应对这样的网络威胁趋势，欧盟网络与信息安全局认为网络威胁情报共享是欧洲网络防御者们需要尽快做到的一个重要措施。

欧盟网络与信息安全局还在支持欧盟“电子身份识别技术（eIDAS）”项目的开展，该项目的目标是建立一个针对欧盟成员国公共服务跨境使用的国家级电子身份识别系统，主要涵盖针对网站认证使用的电子签名、电子印章、时间戳、注册交付服务和数字证书等。金融、银行、交通、保险、医疗卫生等依赖于安全可靠的身份识别、验证及合规性要求的行业都将受到该项目的影响。欧盟网络与信息安全局在欧盟委员会推动eIDAS项目的过程中充当了相关法律的解释者和协调者，到今年9月，欧盟电子交易中进行各成员国电子身份识别信息的跨境互认将成为欧盟强制标准。

此外，欧盟网络与信息安全局也在辅助欧盟开展其第二版支付服务指导文件（PSD2）的制订实施，该项法律将解除对欧洲支付行业的管制，为欧洲内部市场的电子支付提供了法律基础，并为消费者使用电子支付提供了法律便利。欧盟网络与信息安全局认为，欧盟解除对支付行业的管制措施将会吸引更多的新参与者，但这些新玩家不见得具有像银行那样历经许多年建设而形成的高安全级别和成熟流程，因此欧盟网络与信息安全局在谨慎支持欧盟解除支付行业管制的同时，也警告有意进入该领域的企业应建设与银行相同级别的安全性。

当然，欧盟网络与信息安全局在2018年还有一个最重要的任务，就是推行将在5月25日生效的欧盟数据保护法律《通用数据保护法（General Data Protection Regulation，GDPR）》，这个法律明确了机构对个人数据的使用及管理要求，并确定了数据保护不当情况的惩罚措施。欧盟网络与信息安全局认为，该法律针对个人信息保护而设计，对于欧盟数字单一市场的形成和运作将具有标志性意义。

最后，欧盟网络与信息安全局还将举办其每年一度的“欧洲网络安全挑战赛（European Cyber Security Challenge）”，欧洲各国的大中院校学校学生将组队参加本国的国家级竞赛，优胜者将在全欧决赛中一决高下。欧盟网络与信息安全局每年十月也将举办“网络安全月”，在欧盟各成员国开展旨在推广网络安全态势感知相关知识的若干活动。